因應新冠肺炎的影響,教育部開始大力鼓吹「遠距教學」。教育部本來主打的軟體是 Zoom ,直到下面的這些新聞: 立委點名教育部、司法院,籲公部門禁用 Zoom! Zoom爆資安疑慮 立委提醒教育注意遠距資安風險 Zoom 資安爭議懶人包,專家建議如何使用這套視訊會議服務較為安全 然後教育部做了下面的裁示: 教育部對zoom資安疑慮後續處置說明 好,接下來是我的看法。 End-to-End Encryption Zoom 最大的問題是它曾宣稱它具有 End-to-End Encryption,對作資安的人來說,這個宣告指的是 Sender 和 Receiver 之間有共享的金鑰可以加密(當然建立金鑰可以透過非對稱式的方式)。但後來被抓到並沒有這樣實作!!Zoom 因此宣稱他們的 點對點加密 指的是 「從用戶端到Zoom的伺服器」 。作資安的沒有半個會認可這樣的說法。上面這段敘述的資料來源附在下面: ZOOM MEETINGS AREN’T END-TO-END ENCRYPTED, DESPITE MISLEADING MARKETING 問題來了,要做到 Zoom 那樣的功能,有可能實現 End-to-End 的加密嗎? 我認為不可能 。一般一對一的聊天軟體這並不難,但想想看,Zoom 可以在多人的會議室當中,允許有些成員在私下講話,根據 End-to-End 的定義,每個成員之間都要有一把共享的金鑰,這在金鑰管理的機制下是不可行的,因為會議成員是來來去去的,動態金鑰管理一直是資安領域一個難解的問題。 為了證明我的猜想沒錯,我們來看看大部分新聞提到的幾套軟體:Google Meet、Microsoft Team、Cisco Webex。當然還有其他軟體啦,不過我只找了這三套的資料,若有人有興趣歡迎找其他的相關資料。 Google Hangouts Meet Meet security and privacy 在 Encryption 那邊很明確寫到「All data in Meet is encrypted in transit by default between the client and Google for video meetings on a web browser, on the Meet Andr...